|
Viren, Würmer, Trojaner gelöscht! Immernoch Fehler auf System! Was nun??? Hallo erstmal an alle Profis hier: Ich habe folgendes Problem: Ich bin gestern im Internet gesurft auf legalen Seiten, wie eBay und Google), als sich mein AntiVir-Virenscanner meldete und Trojaner bzw. Viren meldete, die ich aber mit dem Virenprogramm gleich gelöscht habe. Folge: Es öffneten sich diverse Internetseiten, Mein Office verlangte nach der Office CD und wollte irgendetwas von der Offive CD installieren und ganz merkwürdig: Auf einmal öffnete sich ein "Virensheriff" (ohne einsehbare Installation), prüfte mein System und zählte eine Liste mit Viren und Trojaner auf. Nach der Suche konnte ich die Dinger mit einem Klick auf "Remove" löschen, jedoch kam dann eine Meldung, dass ich die Vollversion kaufen soll, bzw. mich registrieren soll, sonst könnte ich die Dinger nicht löschen... Da mir das sehr unglaubwürdig vorkam, hab ich das Programm gleich gelöscht, unzählige Male den Ad-Aware, Microsoft AntiSpyware und meinen AntiVir-Scanner laufen lassen. Mit Erfolg. Ad-Aware findet jetzt immer noch ien paar Sachen, bis ich ihn mehrmals hab durchlaufen lassen, nach einen Systemneustart, findet er wieder Sachen, die ich dann logischerweise erneut lösche. Folgende Probleme bestehen jetzt noch (ich benutze daheim Win XP Proffesional mit Service Pack 2): - Auf dem Desktop sind ja diese Symbole, bei WinXP war es bisher immer so, dass der Kasten hinter der Symbolbeschriftung durchsichtig war, das ist jetzt nicht mehr so, es ist ein grauer Kasten, dessen Farbe ich ändern kann, aber ich weiß nicht, wie ich sie wieder in Durchsichtig ändern kann... - Es öffnen sich dauernd neue Internetfenster mit Werbung und Pop-ups, obwohl ich den Pop-up aktiviert habe. - Die Internet Firewall von Windows war durch die Viren und Trojaner deaktiviert, Schutzmäßig hab ich soweit wieder alles aktiviert. - Meine eBay-Toolbar war weg, habe sie dann deinstalliert und wollte sie wieder frisch installieren, funktioniert aber nicht, am Schluss der Installation kommt ein Fenster mit einem Fehler, dass er irgendetwas nicht finden kann. Dies hab ich aber jetzt auch behoben. - Mein MSN-Messenger funktioniert überhaupt nicht mehr, habe ihn ebenfalls deinstalliert und frisch installiert, geht aber immer noch nicht. Beim Versuch zu starten bringt er hier einen Fehlerberich von Windows. Ich habe immer nich die Hoffnung, dass es irgendeinen anderen Weg gibt, mein System wieder zum Laufen zu bringen, da ich sehr viel Geräte in und am PC habe, und viele Spiele, deren Speicherstände ich nur sehr sehr ungern verlieren möchte, außerdem ist das ja ein total er Aufwand und dann wieder alles neu installieren aus einrichten... *heul* Ich würde mich wirklich freuen, wenn es noch einen anderen Weg gibt, meinen PC zu retten... Liebe Grüße Jen |
|
Hier mein LogFile: Logfile of HijackThis v1.99.1 Scan saved at 15:42:26, on 24.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\system32\rundll32.exe C:\windows\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\windows\system32\RUNDLL32.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\windows\system32\ctfmon.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\windows\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\windows\system32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\windows\system32\wuauclt.exe C:\Programme\Win rar\WinRAR.exe C:\DOKUME~1\Jen\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Webcam\ManifestEngine.exe boot O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - Startup: E-Mail.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23e69482cc1bb3f51a06/netzip/RdxIE601_de.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O20 - Winlogon Notify: WebCheck - C:\windows\system32\j8l4li3q18.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
|
L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck] "Asynchronous"=dword:00000000 "DllName"="C:\\windows\\system32\\j8l4li3q18.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{EF729450-EF54-5991-3FE6-592071D44191}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{C70843C3-E58A-4675-87B3-294B032A9EB9}"="" "{92085AD4-F48A-450D-BD93-B28CC7DF67CE}"="eBay Toolbar" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\InprocServer32] @="C:\\windows\\system32\\nyrsfr.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ bassmod.dll Tue 17 Jan 2006 16:58:14 A.... 34.308 33,50 K browseui.dll Thu 24 Nov 2005 0:58:28 A.... 1.022.464 998,50 K c6000g~1.dll Sun 22 Jan 2006 17:14:22 ..S.R 236.139 230,60 K danim.dll Sat 5 Nov 2005 4:16:24 A.... 1.056.256 1,00 M gccoll~1.dll Tue 15 Nov 2005 12:12:08 A.... 126.680 123,71 K gcunco~1.dll Tue 15 Nov 2005 12:12:06 A.... 95.448 93,21 K gdi32.dll Thu 29 Dec 2005 3:54:38 A.... 280.064 273,50 K hashlib.dll Tue 15 Nov 2005 12:12:08 A.... 117.976 115,21 K j8l4li~1.dll Tue 24 Jan 2006 15:29:48 ..S.R 236.307 230,77 K legitc~1.dll Fri 4 Nov 2005 16:27:24 A.... 534.280 521,76 K lv4209~1.dll Mon 23 Jan 2006 17:12:24 ..S.R 235.059 229,55 K mshtml.dll Thu 24 Nov 2005 0:58:28 A.... 3.013.632 2,87 M mvctf.dll Sun 22 Jan 2006 18:02:14 ..S.R 236.139 230,60 K n6n60g~1.dll Mon 23 Jan 2006 20:30:08 ..S.R 237.282 231,72 K nyrsfr.dll Tue 24 Jan 2006 15:40:38 ..S.R 236.307 230,77 K o4480e~1.dll Tue 24 Jan 2006 15:40:38 ..S.R 237.151 231,59 K shdocvw.dll Thu 1 Dec 2005 4:31:06 A.... 1.492.480 1,42 M urlmon.dll Sat 5 Nov 2005 4:16:28 A.... 606.208 592,00 K 18 items found: 18 files (7 H/S), 0 directories. Total of file sizes: 10.034.180 bytes 9,57 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: DC83-AB78 Verzeichnis von C:\windows\System32 24.01.2006 15:40 236.307 nyrsfr.dll 24.01.2006 15:40 237.151 o4480ehueh480.dll 24.01.2006 15:29 236.307 j8l4li3q18.dll 23.01.2006 20:30 237.282 n6n60g5se6.dll 23.01.2006 17:12 235.059 lv4209hoe.dll 22.01.2006 18:02 236.139 MVCTF.dll 22.01.2006 17:14 236.139 c6000gdme60a0.dll 22.01.2006 15:57 <DIR> dllcache 29.09.2004 15:51 <DIR> Microsoft 7 Datei(en) 1.654.384 Bytes 2 Verzeichnis(se), 3.483.508.736 Bytes frei |
Hallo Jen, hast Du mit L2mfix auch schon die Optionen 2 und 4 angewendet? dartus |
hier option 2 L2mfix 010406 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\windows\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 608 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 696 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1720 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1504 'rundll32.exe' Killing PID 1840 'rundll32.exe' Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. 1 Datei(en) kopiert. Deleting: C:\windows\system32\c6000gdme60a0.dll Successfully Deleted: C:\windows\system32\c6000gdme60a0.dll Deleting: C:\windows\system32\j8l4li3q18.dll Successfully Deleted: C:\windows\system32\j8l4li3q18.dll Deleting: C:\windows\system32\lv4209hoe.dll Successfully Deleted: C:\windows\system32\lv4209hoe.dll Deleting: C:\windows\system32\MVCTF.dll Successfully Deleted: C:\windows\system32\MVCTF.dll Deleting: C:\windows\system32\n6n60g5se6.dll Successfully Deleted: C:\windows\system32\n6n60g5se6.dll Deleting: C:\windows\system32\nyrsfr.dll Successfully Deleted: C:\windows\system32\nyrsfr.dll Deleting: C:\windows\system32\o4480ehueh480.dll Successfully Deleted: C:\windows\system32\o4480ehueh480.dll msg11?.dll 0 Datei(en) kopiert. Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck] "Asynchronous"=dword:00000000 "DllName"="C:\\windows\\system32\\j8l4li3q18.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** C:\windows\system32\c6000gdme60a0.dll C:\windows\system32\j8l4li3q18.dll C:\windows\system32\lv4209hoe.dll C:\windows\system32\MVCTF.dll C:\windows\system32\n6n60g5se6.dll C:\windows\system32\nyrsfr.dll C:\windows\system32\o4480ehueh480.dll Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}\InprocServer32] @="C:\\windows\\system32\\nyrsfr.dll" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{C70843C3-E58A-4675-87B3-294B032A9EB9}"=- [-HKEY_CLASSES_ROOT\CLSID\{C70843C3-E58A-4675-87B3-294B032A9EB9}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: adding: dlls/c6000gdme60a0.dll (164 bytes security) (deflated 5%) adding: dlls/j8l4li3q18.dll (164 bytes security) (deflated 5%) adding: dlls/lv4209hoe.dll (164 bytes security) (deflated 5%) adding: dlls/MVCTF.dll (164 bytes security) (deflated 5%) adding: dlls/n6n60g5se6.dll (164 bytes security) (deflated 6%) adding: dlls/nyrsfr.dll (164 bytes security) (deflated 5%) adding: dlls/o4480ehueh480.dll (164 bytes security) (deflated 6%) adding: backregs/C70843C3-E58A-4675-87B3-294B032A9EB9.reg (212 bytes security) (deflated 70%) adding: backregs/notibac.reg (164 bytes security) (deflated 63%) adding: backregs/shell.reg (164 bytes security) (deflated 43%) |
und das ist option 4: Der Benutzername konnte nicht gefunden werden. Sie erhalten weitere Hilfe, wenn Sie NET HELPMSG 2221 eingeben. Das System kann den angegebenen Pfad nicht finden. Checking for L2MFix account(0=no 1=yes): 0 |
Hallo Jen, oki! :daumenhoc Nun die Anweisung in dem anderen Link. Poste abschliessend ein neues HJT-Logfile. dartus |
hier meine ergebnisse: hijackthis: aLogfile of HijackThis v1.99.1 Scan saved at 17:34:36, on 24.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\windows\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\windows\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\windows\system32\RUNDLL32.EXE C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\GoogleFilter\Core\Googlefilter.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\windows\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Win rar\WinRAR.exe C:\DOKUME~1\Jen\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Webcam\ManifestEngine.exe boot O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: E-Mail.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23e69482cc1bb3f51a06/netzip/RdxIE601_de.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O20 - Winlogon Notify: WebCheck - C:\windows\system32\j8l4li3q18.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
smitrem: smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 740 'explorer.exe' Killing PID 740 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
und zuletzt - escan: (...) Tue Jan 24 17:22:24 2006 => ***** Checking for specific ITW Viruses ***** Tue Jan 24 17:22:24 2006 => Checking for Welchia Virus... Tue Jan 24 17:22:24 2006 => Checking for LovGate Virus... Tue Jan 24 17:22:24 2006 => Checking for CodeRed Virus... Tue Jan 24 17:22:24 2006 => Checking for OpaServ Virus... Tue Jan 24 17:22:24 2006 => Checking for Sobig.e Virus... Tue Jan 24 17:22:24 2006 => Checking for Winupie Virus... Tue Jan 24 17:22:25 2006 => Checking for Swen Virus... Tue Jan 24 17:22:25 2006 => Checking for JS.Fortnight Virus... Tue Jan 24 17:22:25 2006 => Checking for Novarg Virus... Tue Jan 24 17:22:25 2006 => Checking for Pagabot Virus... Tue Jan 24 17:22:25 2006 => Checking for Parite.b Virus... Tue Jan 24 17:22:25 2006 => Checking for Parite.a Virus... Tue Jan 24 17:22:25 2006 => Checking for Adware.SeekSeek Virus... Tue Jan 24 17:22:25 2006 => ***** Scanning complete. ***** Tue Jan 24 17:22:25 2006 => Total Objects Scanned: 61273 Tue Jan 24 17:22:25 2006 => Total Critical Objects: 9 Tue Jan 24 17:22:25 2006 => Total Disinfected Objects: 0 Tue Jan 24 17:22:25 2006 => Total Objects Renamed: 0 Tue Jan 24 17:22:25 2006 => Total Deleted Objects: 0 Tue Jan 24 17:22:25 2006 => Total Errors: 179 Tue Jan 24 17:22:25 2006 => Time Elapsed: 00:19:51 Tue Jan 24 17:22:26 2006 => Virus Database Date: 1/23/2006 Tue Jan 24 17:22:26 2006 => Virus Database Count: 172577 Tue Jan 24 17:22:26 2006 => Scan Completed. die "fehler" konnten irgendwie nicht gelöscht werden, hätte erst das tool kaufen müssen.. :-( |
Hallo Dartus, 1000-Dank an dich!!!!! :knuddel: Es öffnen sich nun keine Pop-up Fenster mehr und mein Desktop ist auch wieder "normal". Deine Beschreibungen waren echt hilfeich und gut verständlich. Hier muss doch echt mal ein dickes LOB gepostet werden! :aplaus: Hast mir eine Menge Zeit und Nerven erspart! DANKE :daumenhoc Liebe Grüße Jen :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board